JFrog與IDC合作研究顯示:開發(fā)人員在軟件安全方面耗時(shí)日益增加,影響企業(yè)競爭優(yōu)勢
流式軟件公司、JFrog 軟件供應(yīng)鏈平臺的締造者JFrog近日發(fā)布的一項(xiàng) IDC 調(diào)查結(jié)果顯示,開發(fā)人員在安全相關(guān)任務(wù)(如手動(dòng)應(yīng)用程序掃描審查、上下文切換和機(jī)密信息檢測等項(xiàng)目)上的耗時(shí)顯著增加,企業(yè)每年為每位開發(fā)人員在此類任務(wù)上的投入高達(dá)2.8萬美元。由 JFrog 贊助的 IDC信息簡報(bào)《DevSecOps 的隱性成本:開發(fā)人員的時(shí)間評估 》顯示,50% 的高級開發(fā)人員、團(tuán)隊(duì)領(lǐng)導(dǎo)、產(chǎn)品負(fù)責(zé)人和開發(fā)經(jīng)理每周花費(fèi)在軟件安全相關(guān)任務(wù)上的時(shí)間顯著增加,這影響了他們創(chuàng)新、構(gòu)建和交付新業(yè)務(wù)應(yīng)用程序的能力。
本文引用地址:http://butianyuan.cn/article/202410/463648.htmJFrog Security首席技術(shù)官Asaf Karas表示:“在確保軟件供應(yīng)鏈安全方面,企業(yè)本就已經(jīng)面臨巨大的挑戰(zhàn),如果還要使用多種工具,情況就會(huì)變得更加復(fù)雜,迫使開發(fā)人員在多個(gè)線上工作環(huán)境之間頻繁切換,從而降低工作效率,在增加時(shí)間成本的同時(shí)也導(dǎo)致風(fēng)險(xiǎn)增加。IDC的調(diào)查為企業(yè)投資于更精簡的安全流程、工具和培訓(xùn)提供了有力的論據(jù),這些投資將有助于其開發(fā)人員更高效、更有力地保護(hù)軟件供應(yīng)鏈?!?/p>
調(diào)查報(bào)告中,半數(shù)受訪對象表示,他們每周約有19% 的時(shí)間用于處理安全相關(guān)任務(wù),而且很多時(shí)候是在正常工作時(shí)間之外,這就可能會(huì)導(dǎo)致他們對軟件安全采取被動(dòng)而非主動(dòng)的舉措。IDC 調(diào)查的其他主要發(fā)現(xiàn)包括:
● 追影逐跡:消除誤報(bào): 開發(fā)人員平均花費(fèi)3.5小時(shí)手動(dòng)審查安全掃描結(jié)果,以排除誤報(bào)和重復(fù)項(xiàng)。
● 上下文至關(guān)重要: 69% 的開發(fā)人員同意或非常同意,他們的安全相關(guān)職責(zé)要求他們在各種工具之間頻繁切換上下文,從而降低了工作效率。而由于需要繞過每個(gè)工具平臺的重新驗(yàn)證,多工具上下文切換也會(huì)增加令牌的使用。令牌對應(yīng)用程序開發(fā)很有幫助,但也可能被遺忘在工作流中,從而在公司的系統(tǒng)中留下可供攻擊者利用的安全隱患。
● 密鑰管理絕非易事:開發(fā)人員將 50% 的時(shí)間用于解析密鑰掃描結(jié)果、修改代碼以修復(fù)發(fā)現(xiàn)的問題,以及更新密鑰管理措施。
● 基礎(chǔ)設(shè)施調(diào)查:基礎(chǔ)設(shè)施即代碼(IaC)用于自動(dòng)配置和管理服務(wù)器、網(wǎng)絡(luò)、操作系統(tǒng)和存儲等 IT 基礎(chǔ)設(shè)施,須在每次代碼更改時(shí)對其進(jìn)行掃描,超過 54% 的開發(fā)人員表示他們每周或每月運(yùn)行一次 IaC 掃描。
● SAST并非萬無一失:盡管靜態(tài)應(yīng)用安全測試(SAST)工具已被集成到本地開發(fā)環(huán)境中,可在開發(fā)人員編寫代碼時(shí)提供測試結(jié)果,但只有 23% 的開發(fā)人員在將代碼部署到生產(chǎn)環(huán)境之前運(yùn)行 SAST 掃描,這就為惡意代碼的潛入留下了巨大的隱患。
IDC DevSecOps和軟件供應(yīng)鏈安全研究經(jīng)理Katie Norton表示:“DevSecOps 不僅是企業(yè)的當(dāng)務(wù)之急,也是構(gòu)建未來安全應(yīng)用程序的基石。然而,如何克服那些效率低下、應(yīng)用不當(dāng)?shù)墓ぞ邘淼奶魬?zhàn),避免它們耗費(fèi)開發(fā)人員的時(shí)間并增加成本,是行業(yè)面臨的一大難題。要想取得成功,IT 和軟件開發(fā)團(tuán)隊(duì)的領(lǐng)導(dǎo)者必須將重復(fù)耗時(shí)的任務(wù)自動(dòng)化,確保 DevSecOps 工具能以極低的誤報(bào)率實(shí)現(xiàn)精準(zhǔn)交付,并為開發(fā)人員提供持續(xù)的應(yīng)用安全教育和資源,使其能夠時(shí)刻關(guān)注日益嚴(yán)峻的威脅態(tài)勢?!?/p>
IDC 信息簡報(bào)的調(diào)查對向包括來自美國、英國、法國和德國的20多家員工規(guī)模在千人以上的公司的高級開發(fā)人員、團(tuán)隊(duì)管理者、產(chǎn)品負(fù)責(zé)人和開發(fā)經(jīng)理。
評論